X509 證書生成

X509證書介紹

X.509 是由國際電信聯盟（ITU-T）制定的數字證書標準，相信這是人盡皆知的了，目前X.509證書據我所知有三個版本，.net中使用的是x.509-2，X.509-2 版引入了主體和簽發人惟一標識符的概念，以解決主體和/或簽發人名稱在一段時間後可能重複使用的問題，x509-2(如下簡稱x509)證書由兩把鑰匙組成，一般稱之爲密鑰對，公鑰加密，私鑰解密。今天我想在這裏對x509進行一個深刻的介紹和了解，由於在WCF的安全體系中，x509證書應用是很是頻繁的，或者說是不可缺乏的。

一、如何生成證書？ 

  使用微軟提供的Makecert.exe測試證書生成工具能夠很好的幫助咱們獲得一個x509標準證書，具體方法以下：下載Makecert.exe或者定位到你的計算機目錄：C:\Program Files\Microsoft SDKs\Windows\v6.0A\bin下，找找就看見了，我強烈建議你copy Makecert.exe到一個單獨的目錄中，如copy到D:\\cers。

　　如今點擊開始菜單-運行-輸入cmd，運行控制檯應用程序，定位到D:\\cers，在控制檯輸入：makecert -r  -pe  -$  individual -n 「CN=mailSecurity」 -sky exchange -sr currentuser -ss my mailSecurity.cer，便可在當前用戶證書存儲區下的我的區中生成一個名爲mailSecurityr的x509證書，並在當前目錄輸出了證書文件mailSecurity.cer，如下簡單介紹一下各類參數意義，更復雜的參數請參考：證書建立工具幫助

makecert 證書工具名

-r　　表示即將生成的證書是自我簽署的，本身給本身發獎(這裏主要是指頒發機構）

-pe　　表示將所生成的私鑰標記爲可導出。這樣可將私鑰包括在證書中

-$　　證書是我的用仍是商用(individual/commercial）老美就是搞啊，這玩意用美圓符號還真是形象得很。

-n　　表示證書主題，你就當它是標題吧，無論你取什麼名字，必須包含CN＝前綴

-sky　　指定主題的密鑰類型，必須是 signature、exchange 或一個表示提供程序類型的整數。默認狀況下，可傳入 1 表示交換密鑰，傳入 2 表示簽名密鑰

-sr　　指定主題的證書存儲位置。Location 能夠是 currentuser（默認值）或 localmachine（實際是必須是這兩個中的一個值)

-ss　　指定主題的證書存儲名稱，輸出證書即存儲在那裏 

mailSecurity.cer  證書名稱，沒必要與主題一致，不過建議你仍是致的好。